E2Guardian nao bloqueia acessos por APP celular

evandro.trebien

@acamoura a configuração que tenho aqui é uma rede LAN(DHCP ENABLE), os roteadores são conectados em modo bridge(COM DHCP desabilitado) nessa LAN, obtendo assim o
IP diretamente do servidor DHCP do firewall. Utilizo os roteadores ubiquitis aqui.

Segue minhas configurações da LAN.

OBS: Utilizo o e2g nas portas 1980 e 1981.
Pfsense versão 2.4-5
e2g versão 0.5.3.4

O estranho é que montei um ambiente do zero, fora desta rede aqui, somente com um roteador e 2 dispositivos conectados e o erro é o mesmo.

Por isso estou quebrando a cabeça pra encontrar qual o erro.

Realtime:

acamoura

Olá @evandro-trebien,

Após uma instalação padrão do pfSense as suas regras conforme printadas abaixo estão desativadas, pois elas vêm como default ativas e assim é liberado tudo na interface LAN. Esse poderia ser outro indicio que esteja acessando.

Eu sempre desabilito elas para realmente ter uma boa forma de controlar e liberar somente oque precisa de trafegar e o resto fica tudo bloqueado.

Atenciosamente.

César Moura

hugolrb

@acamoura Certo, mais quando ja chega ness etapa quer dizer que ja passou pelo e2g e agora ja ta saindo da LAN pra WAN. O caso em questão é: Porque o real time esta constando com block mais passa? Eu creio que pode ser uma questão de ips, pois a rede face e insta pelo que sei esta usando o mesmo range de ips que o whats, dai como whats é liberado os outros tambem sao. Posso estar errado mais é minha linha de raciocínio.
Ja estou pensando em usar o snort pra tentar bloquear

diogenescorrea

@hugolrb Amigo, estou com esse problema tbm do e2guardian estar reportando bloqueio do facebook no realtime, porem os celulares na pratica pelo app ta liberando tudo, voce achou alguma solução pra isso? Obrigado

aadrianlucas

Também estou com o mesmo problema.. Em Real Time acusa como Bloqueado, porém nos apps do Celular continua funcionando normalmente.. Alguém conseguiu resolver?

hugolrb

@aadrianlucas oi amigo meu problema foi resolvido. Era que as últimas regras estava liberando tudo. Na suas regras de LAN, você tem que bloquear o restante no final. E as conexão és de LAN padrão que vem lá, você tem que mudar pras portas 8080 e 80801, http e HTTPS respectivamente

Daniel 4

@hugolrb Boa tarde, pode explicar melhor como fez ou mostrar em imagem?

hugolrb

@daniel-4 Opa amigao desculpe a demora. Entao foi como o amigo acima disse. as ultimas regras padroes dizem que voce libera tudo pra rede lan.
Voce tem que desativar elas, e ativar as regras pras portas 8080 e 8081.

Note que as regras padroes que vem nele estao desativadas. e as regras apontando pro firewall na porta 8080 e 8081 estao ativas. Isso tem que ser feito porque redes sociais no celular vao pra ip:443 e ip:80, e assim o e2guardian nao consegue direito filtrar. quando vc desativa a regra passando pra essas portas, ele bloqueia

hugolrb

@hugolrb E por ultimo eu gero uma regra que bloqueia o restante, como o @aadrianlucas nos ajudou ai.

Daniel 4

@hugolrb Bom dia, obrigado pela resposta. funcionou os bloqueios, porém o whats no cel tbm não funciona. já coloquei na lista de exceções, antes ele aparecia no realtime como liberado agora nem aparece mais.
tem alguma outra coisa que precise ser feito?

hugolrb

@daniel-4 ola meu amigo
Então pro meu funcionar eu tive que criar um aliás de portas e de endereços .
Depois coloquei como bypass no e2guardian os endereços. No firewall - rules - regras de LAN; eu liberei o aliás de endereço pra porta 443 e dei permissão pras portas que o whatsapp usam pra chamadas de vídeo, status, fotos etc.

nalini

@hugolrb said in E2Guardian nao bloqueia acessos por APP celular:

@daniel-4 ola meu amigo
Então pro meu funcionar eu tive que criar um aliás de portas e de endereços .
Depois coloquei como bypass no e2guardian os endereços. No firewall - rules - regras de LAN; eu liberei o aliás de endereço pra porta 443 e dei permissão pras portas que o whatsapp usam pra chamadas de vídeo, status, fotos etc.

poderia postar uma imagem por favor, estou com o mesmo problema, fiz as regras comentadas a cima, porem está prejudicando toda navegação, e no app do whatsapp não consigo baixar imagens/videos/áudios. Eu preciso que só whatsapp funcione aqui no meu ambiente, app do facebook, youtube, instagram, tiktok tem que ficar bloqueado e utilizando os bloqueios por categoria no E2Guardian só bloqueia acesso via navegado, os apps passa direto, mesmo dando negado no real time.

anderson.soprana

Olá pessoal, queria agradecer a todos pela contribuição e tb contribuir com a galera, com a informação que o nosso colega @hugolrb abordou fez sentido pois caso vc não mantenha uma regra de bloqueio as conexões ainda são mantidas. Vou tentar explicar melhor..
Enfim, no caso mencionado, que os acesso via celular ainda era mantido, é devido o aparelho manter o acesso dos apps constante ele não fecha as conexões o pfsense mantem o estados das conexão até o cliente encera-lo. Mas com os computadores também não é diferente, se tiverem uma acl de bloqueio por período e fizerem um acesso mantendo a página do facebook aberta antes da aplicação da regra o acesso do facebook é mantido (caso relatado pelos colegas que aparece no realtime o bloqueio mais consegue navegar) porém, se fechar o navegador e abrir novamente a conexão é perdida e a regra de bloqueio é aplicada.

E para que de fato o bloqueio seja efetivo como nosso colega @hugolrb mencionou segue imagem de como deve ficar a regra de bloqueio na interface LAN. Se a regra das ACLs (em amarelo) não bloquear, a regra em vermelho bloqueia.. (acho que e isso)

felipepipers

@anderson-soprana Olá, o E2guardian bloqueia nesta camada de APP? Até onde me disseram, não está mais sendo muito performático. Até abri esta semana um tópico aqui, solicitando ajuda sobre como fazer esses bloqueios num Wi-Fi Corporativo, em que os APPS de redes sociais possam ser bloqueados. Já que no PfBlocher que já testei, não funcionou o bloqueio.

Obrigado

felipepipers

@anderson-soprana Outra observação, se me permite tirar esta dúvida contigo: 1. Tuas regras ali, (LAN 2° e 3° regra - DE CIMA PARA BAIXO) estão : Source (origem: Qualquer), e Destination (Destino: Qualquer).

2. E como fica a questão de IPv6? Vi que vc inseriu apenas IPv4 nas regas.

Obrigado.

anderson.soprana

@felipepipers said in E2Guardian nao bloqueia acessos por APP celular:

@anderson-soprana Olá, o E2guardian bloqueia nesta camada de APP? Até onde me disseram, não está mais sendo muito performático. Até abri esta semana um tópico aqui, solicitando ajuda sobre como fazer esses bloqueios num Wi-Fi Corporativo, em que os APPS de redes sociais possam ser bloqueados. Já que no PfBlocher que já testei, não funcionou o bloqueio.

Obrigado

Então @felipepipers, neste caso vc tem que casar as regras de firewall junto com e2g, caso contrário vc não consegue bloquear mesmo.. no exemplo eu libero algumas funcionalidades e caso o cidadão não esteja nas regras de e2g ele passa para a regra de bloqueio e neste caso app nenhum funciona.. muito aplicativos criam caches porém a navegação e acesso posteriormente são bloqueados.

tudo é uma questão de testar e verificar qual o melhor senário par cada situação, é trabalhoso e árduo o caminho mais no fim é compensador..

anderson.soprana

@felipepipers said in E2Guardian nao bloqueia acessos por APP celular:

@anderson-soprana Outra observação, se me permite tirar esta dúvida contigo: 1. Tuas regras ali, (LAN 2° e 3° regra - DE CIMA PARA BAIXO) estão : Source (origem: Qualquer), e Destination (Destino: Qualquer).

2. E como fica a questão de IPv6? Vi que vc inseriu apenas IPv4 nas regas.

Obrigado.

no caso o IPv6 vc vai ter que criar as regas semelhantes pois as interfaces comutam os dois protocolos em uma mesma interface.. não fiz os testes ainda com o ipv6 mais assim que possível coloco um tópico a respeito..

felipepipers

@anderson-soprana Certo.. Mas não entendi as tuas regras. Fiz aqui e parou tudo rs....

anderson.soprana

@felipepipers said in E2Guardian nao bloqueia acessos por APP celular:

@anderson-soprana Certo.. Mas não entendi as tuas regras. Fiz aqui e parou tudo rs....

então colega, esta regra que eu fiz é a mais simples e estou ainda apenas testando o E2G no meu ambiente virtualizado, vamos lá..

Regra 1

• quando o E2G esta funcionando todo o trafego de internet é redirecionado para a portas do E2G, então libero acesso via portas configuradas no E2G onde 8080 é (http) e 8081 é (https) mas como existem serviço que utilizam estas portas eu mudei respectivamente para 1980 e 1981 nesta regra..
• esta regra caminha junto com o E2G então tudo que é liberado e bloqueado no e2g passa nesta regra.

Regra 2

• Esta libera os host a pesquisarem o serviço dns (esta regra deve estar acima do regra 1)

Regra 3

• Tudo que não estiver de acordo com o e2g ou não liberado por outra regra acima é bloqueado por esta regra..

Enfim, isso é apenas um básico... mais qualquer coisa que vc queira liberar na sua rede sem passar pelo E2g tens que acrescentar acima das regras.. lembrando que tudo antes de colocar em produção seria bom testar e laboratório..

felipepipers

@anderson-soprana Sim entendi. Estou em \LAB... Enfim, não senti muita firmeza nessas regras. Vou ver outra opção. Obrigado!